Bezpieczeństwo w bankach

Dzięki nowym technologiom banki zmniejszyły koszty, stały się bardziej mobilne. Klienci zyskali szybki i prosty dostęp do usług finansowych. Atrakcyjne rozwiązania informatyczne otworzyły drzwi do nowoczesnej bankowości. Bezpieczeństwo banków na tym nie ucierpiało, choć skala zagrożeń jest dużo większa niż przed technologiczną rewolucją.

Internet wykorzystywany jest na olbrzymią skalę, a sieć cybernetycznych powiązań obejmuje już nie tylko sferę komunikacji, lecz również przedmioty codziennego użytku. Ryzyko związane z działalnością cyfrową to kluczowe zagrożenie, z jakim mierzą się dzisiaj instytucje finansowe. Każdy błąd popełniony w tej dziedzinie, każdy wrogi program wpuszczony do sieci może oznaczać dla banków nie tylko straty finansowe, lecz także reputacyjne.

Cyberatak przeprowadzony przez profesjonalnych przestępców grozi nie tylko utratą ważnych danych finansowych i osobowych, lecz stwarza również zagrożenie dla zakładów produkcyjnych, elektrowni, infrastruktury komunikacyjnej. Jak podaje wydawany przez Bankowy Fundusz Gwarancyjny „Bezpieczny Bank”, w 2015 r. ataki hakerskie dotknęły 19 proc. polskich instytucji finansowych, zaś w 2016 r. już 37 proc. Dane dotyczące całego świata pokazują rosnącą skalę zagrożeń: według 22. edycji Security Intelligence Report (SIR) z sierpnia zeszłego roku liczba zaatakowanych kont użytkowników w 2016 r. wzrosła o 300 proc., natomiast prób zalogowania się ze złośliwych adresów IP – o 44 proc.

Jak wyłowić zagrożenia?

Walka z cyberzagrożeniami nie polega na wygraniu jednej czy kilku bitew. To nieustanne ścieranie się z podstępnym wrogiem, który prowadzi wojnę podjazdową, stosując coraz bardziej wyrafinowane metody, od wyłudzenia danych (phishing) po wgrywanie złośliwego oprogramowania kopiującego informacje o koncie klienta. Banki muszą sobie z tym radzić, zakładając, że walka nigdy się nie skończy. Przeprowadzają regularnie testy bezpieczeństwa pod kontem najnowszych zagrożeń (to m.in. przyczyna nocnych wyłączeń systemów w bankach, określanych często mianem „prac konserwacyjnych”), inwestycje w sprzęt, np. w firewalle nowych generacji czy w rozwiązania sandboksowe umożliwiające otwieranie podejrzanych aplikacji i stron w bezpiecznym, odizolowanym od systemu środowisku.

W sektorze finansowym kluczowy element centrów zarządzania bezpieczeństwem (Security Operations Center – SOC) stanowią systemy klasy SIEM (Security Information and Event Management). Pozwalają one m.in. na analizę ruchów w sieci pod kontem automatycznego zapobiegania cyberatakom, na monitorowanie zasad przestrzegania reguł bezpieczeństwa przez pracowników, reagowanie na zagrożenia, a także na wykrywanie anomalii, czyli sygnałów niepasujących do ustalonego schematu działań.

Często to właśnie te systemy informują, że w sieci pojawił się cyfrowy złoczyńca. Anomalie wyłapują specjaliści z działu IT, na bieżąco monitorujący system banku. Coraz częściej robią to programy (roboty) specjalnie napisane po to, by identyfikować nietypowe zachowania. Ponieważ złośliwe oprogramowanie może bardzo szybko doprowadzić do nieodwracalnych szkód lub stworzyć trudne do wykrycia furtki prowadzące do sieci, a w przeciwdziałaniu atakom na system liczy się czas, rośnie rola maszyn w namierzaniu agresorów.

Obok coraz bardziej zaawansowanych narzędzi informatycznych w bankach funkcjonują doskonale wyszkolone zespoły specjalistów IT, często powiększane o tzw. łowców zagrożeń – threathunters. Łączą oni wiedzę i doświadczenie z innowacyjną technologią. Według raportu „Disrupting the Disruptors, Art or Science?” firmy McAfee łowcy zagrożeń pozwalają zdobyć przewagę nad hakerami i cyberprzestępcami. Łowca, który jest częścią zespołu ds. bezpieczeństwa, bada ślady, wskazówki, hipotezy, a zdobytą w ten sposób wiedzę przekształca na skrypty i reguły. Według McAfee najlepsi łowcy zagrożeń są w stanie określić przyczynę ataku w 90 proc. przypadków (u mniej zaawansowanych wskaźnik wynosi 20 proc.).

Trzeba współpracować

Banki nie tylko nieustannie monitorują stan bezpieczeństwa swoich systemów, lecz również współpracują z międzynarodowymi organizacjami zajmującymi się cyberbezpieczeństwem, takimi jak Microsoft Enterprise Security Group.Microsoft stworzył specjalną jednostkę pod nazwą Digital Crimes Unit, złożoną z prawników, ekspertów z dziedziny bezpieczeństwa sieciowego oraz informatyków. DCU współpracuje m.in. z FBI, Europolem i Interpolem, dostarcza unikatowych informacji na temat światowych zagrożeń. Efektem działań Digital Crimes Unit jest program Enterprise Customers Cyber Threat Intelligence Program (ECCTIP), ułatwiający wymianę informacji dotyczących zagrożeń. Bankowi eksperci dzięki takim przedsięwzięciom są w stanie zapobiec zagrożeniom, zanim dotrą one do naszego kraju. Mogą na przykład otrzymać adresy sieciowe wykorzystane do zdalnych ataków, m.in. w kampaniach phishingowych. Program umożliwia ograniczenie liczby zainfekowanych urządzeń w sieci.

Banki nie zachowują wiedzy o cyberzagrożeniach dla siebie, ale dzielą się nią z innymi instytucjami, np. z Narodowym Centrum Cyberbezpieczeństwa, Bankowym Centrum Cyberbezpieczeństwa oraz z międzynarodowymi zespołami CERT (Computer Emergency Response Team; zespół CERT Polska działa od 1996 r.). Uprzedzanie o zagrożeniach, które dopiero mają się pojawić, daje często lepsze efekty niż walczenie z nimi, gdy wróg przypuści bezpośredni atak.

Ludzkie błędy

Banki działające w Polsce mają nowoczesne systemy informatyczne, korzystają z najbardziej zaawansowanych technologii, więc ich systemy bezpieczeństwa uważane są za bardziej sprawne niż na Zachodzie. Wdrażają też ścisłe procedury związane z cyberbezpieczeństwem, a także mocno inwestują w szkolenie pracowników. To jedno z najbardziej czułych miejsc w każdej instytucji. Według 19. Światowego Badania Bezpieczeństwa Informacji (Global Information Security Survey), przygotowanego przez międzynarodową firmę doradczą EY, w 2016 r. beztroska lub brak świadomości pracownika to zdaniem 55 proc. Ankietowanych firm najsłabsze ogniwo w łańcuchu bezpieczeństwa (rok wcześniej twierdziło tak 44 proc. badanych przedsiębiorstw).

Czasem wystarczy jeden błąd człowieka, by przestępca uzyskał dostęp do pilnie strzeżonych danych. Dlatego coraz częściej mówi się o „hackowaniu” ludzi, a nie systemów, jako najbardziej intratnej dziedzinie działalności przestępczej. Sieciowi złoczyńcy osiągają coraz większe umiejętności w manipulowaniu pracownikami, by przez phising, czyli podszycie się pod inną osobę lub instytucję wyłudzić od nich informacje pozwalające zaatakować firmę i wydobyć z niej istotne dane.

Dotyczy to zarówno pracowników instytucji finansowych, jak i ich klientów. Stali się oni bardziej podatni na ataki chociażby z tego powodu, że bankowość mobilna otworzyła przed nimi nowe możliwości korzystania z usług finansowych, w dowolnym miejscu i czasie, niejednokrotnie mało przyjaznym pod względem bezpieczeństwa. Słabiej chroniony od komputera stacjonarnego smartfon pozwala na wykonywanie skomplikowanych operacji, wymaga jednak zachowania ostrożności i przestrzegania podstawowych zasad.

O czym należy pamiętać? Przede wszystkim należy zwrócić uwagę na to, aby:

• nie udostępniać osobom postronnym kodów PIN i haseł do konta,

• nie klikać w podejrzane linki wysyłane drogą mailową, nawet z adresów powołujących się na adres banku; żaden bank nigdy nie wysyła do swoich klientów pytań dotyczących haseł lub innych poufnych danych ani próśb o ich aktualizację,

• nie używać wyszukiwarek internetowych do znalezienia strony logowania banku; takie linki mogą prowadzić do fałszywych stron lub stron zawierających wirusy,

• aplikacje instalowane zarówno na swoim telefonie, jak i komputerze stacjonarnym pochodziły z wiarygodnych źródeł, aplikacji z nieznanych źródeł lepiej unikać,

• lepiej nie korzystać z publicznych, niezabezpieczonych sieci WiFi, gdy dokonuje się operacji finansowych za pośrednictwem komputera, smartfona lub tabletu,

• podczas korzystania z aplikacji bankowej na smartfonie najlepiej używać oprogramowania, które szyfruje dane; w przypadku sprzedaży smartfona nie będziemy się obawiać, że ktoś niepowołany zdoła dotrzeć do wrażliwych informacji.

Banknoty też muszą być bezpieczne

Bezpieczeństwo obrotu finansowego nie dotyczy tylko operacji wykonywanych w internecie. Obejmuje również obrót gotówkowy. Poziom fałszerstw znaków pieniężnych w Polsce pozostaje wprawdzie niski – na milion banknotów znajdujących się w obiegu przypada ok. trzech falsyfikatów (dane za 2017 r.) – jednak postęp technologiczny wymaga modernizacji zabezpieczeń. Banknoty znajdujące się na rynku muszą być odpowiednio chronione przed fałszerstwami.

Banknoty o niższych nominałach z nowymi zabezpieczeniami pojawiły się w naszych portfelach od kwietnia 2014 r.: na przykład na banknocie 10 zł opalizujący pas ma kolor turkusowy, a w 20 zł – liliowy; na banknocie 50 zł na przedniej stronie umieszczona jest stylizowana litera K, która wraz ze zmianą kąta patrzenia płynnie zmienia kolor z zielonego na niebieski. Na przedniej stronie stuzłotówki umieszczona została rozeta, która wraz ze zmianą kąta patrzenia zmienia kolor – ze złotego w zielony.

W lutym 2016 r. Narodowy Bank Polski wprowadził do obiegu banknoty o wartości nominalnej 200 zł ze zmodernizowanymi zabezpieczeniami. Na banknocie umieszczono m.in. nitkę okienkową, która płynnie zmienia kolor ze złotego na zielony, a znajdujący się na niej wzór szachownicy porusza się w obu płaszczyznach. Na przedniej stronie banknotu znalazł się ozdobny element graficzny, zmieniający kolor ze złotego na zielony (tzw. tarcza herbowa), a na odwrotnej – złoty opalizujący ornament. Tak jak w przypadku niższych nominałów wzbogacono znak wodny: podczas oglądania pod światło oprócz wizerunku władcy widoczne jest także oznaczenie nominału. Część banknotu, gdzie znajduje się znak wodny, jest niezadrukowana, dzięki czemu banknot wydaje się nieco jaśniejszy, a znak wodny jest lepiej widoczny.

Najwyższej klasy elementy zabezpieczające ma wprowadzony w lutym 2017 r. banknot 500-złotowy. Zabezpieczeniem jest m.in. okienkowa nitka, farba zmienna optycznie i farba opalizująca, a także zabezpieczenie widoczne w świetle UV, w tym kwadrat z napisem: 500 zł. Wraz ze zmianą kąta patrzenia na banknot szyszak husarski z prawej strony portretu króla zmienia barwę z zielonej na niebieską, a na stronie odwrotnej banknotu pod nominałem 500 w prawym górnym rogu widoczny jest ornament roślinny wykonany farbą opalizującą w kolorze złotym.

Oprócz banknotu zmodernizowanego o wartości nominalnej 200 zł pozostałe nominały zawierają zabezpieczenie zwane „efektem kątowym”, widoczne w prawym, dolnym rogu przedniej strony. Aby je zobaczyć, należy umieścić banknot na wysokości wzroku i skierować go równolegle do podłoża (trzymać go w powietrzu płasko),a następnie obrócić nim o 90 stopni w prawo lub w lewo. Zabezpieczeniem banknotów są również mikrodruki, czyli napisy wydrukowane na przedniej i odwrotnej stronie bardzo małą, niemal niewidoczną gołym okiem czcionką. Tak naprawdę można je dostrzec dopiero pod lupą.

Obecnie w obiegu znajdują się zarówno banknoty przed, jak i po modernizacji, jednak liczba tych pierwszych systematycznie maleje. Najwięcej, bo ponad 1,2 mld sztuk, na rynku było na koniec 2017 r. 100-złotówek, a najmniej, bo 7,2 mln sztuk – 500-złotówek. Łącznie na koniec 2017 r. w obiegu było prawie 2 mld sztuk banknotów, a ich wartość wyniosła prawie 194 mld zł.

Łukasz Chłociński

Jakie dane są atrakcyjne dla włamywaczy*:

• wszelkie dane osobowe

• hasła

• numery kart płatniczych

• elektroniczne dokumenty zawierające dane bankowe, np. rachunki i wyciągi z kont

*Na podst. Bankowość internetowa, Bezpieczeństwo transakcji bankowych w internecie – poradnik Związku Banków Polskich